Au Printemps de Sécurité avec Java Config, pourquoi ne httpBasic POST voulez jeton csrf?

Je suis à l'aide de Printemps-Sécurité 3.2.0.RC2 avec Java config.
J'ai créé un simple HttpSecurity config qui demande l'authentification basique sur /v1/**.
OBTENIR les demandes de travail, mais les requêtes POST échouer avec:

HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.

La sécurité de mon config ressemble à ceci:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

@Resource
private MyUserDetailsService userDetailsService;

@Autowired
//public void configureGlobal(AuthenticationManagerBuilder auth)
public void configure(AuthenticationManagerBuilder auth)
        throws Exception {
    StandardPasswordEncoder encoder = new StandardPasswordEncoder(); 
    auth.userDetailsService(userDetailsService).passwordEncoder(encoder);
}

@Configuration
@Order(1)
public static class RestSecurityConfig
        extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .antMatcher("/v1/**").authorizeRequests()
                .antMatchers("/v1/**").authenticated()
            .and().httpBasic();
    }
}

}

Toute aide grandement appréciée.

  • Si vous dan voulez pas désactiver csrf (depuis qu'il est là pour une raison quelconque), vous pouvez ajouter un champ caché avec le csrf de la valeur et d'ajouter de la valeur comme starmandeluxe suggère dans l'acceptation de poste. Cela a bien fonctionné pour moi, sans désactiver csrf
  • est droit, bien que dans mon cas, j'ai dû ajouter X-CSRF-TOKEN à l'ajax post-têtes. (L'ajout de _csrf à l'ajax paramètres post ne fonctionne pas.)
  • L'ajout de @Xtroce commentaire, si vous utilisez thymeleaf pour les templates, vous pouvez ajouter un <form th:action="@{/quelque-url-de-votre-forme-postes-pour}">, et le moteur de template donnera automatiquement un champ caché nommé "_csrf" renseignée avec la valeur correcte.
InformationsquelleAutor shawnim | 2013-12-16
  1. 54

    CSRF la protection est activée par défaut avec Java configuration. Pour le désactiver:

    @Configuration
public class RestSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf().disable()
            ...;
    }
}
    • Donc, la question évidente est, si il n'est pas de le désactiver, ce qui était son problème avec la valeur null? Je me suis fait avoir la même question, et je ne suis pas la désactivation de la protection CSRF pour autant que je sais.
    • Lorsque la protection CSRF est activé, le Printemps de Sécurité s'attend à un jeton CSRF de la part du client lors de l'utilisation de la POSTE. Si le client n'envoie pas un tel jeton, il sera nulle, ce qui signifie manquant.
    • Oh, mais je l'envoie à mon appel AJAX: beforeSend: function(xhr) { xhr.setRequestHeader('X-CSRF Token', $("meta[nom='_csrf']").attr('contenu'));
    • Difficile de dire quel est le problème avec si peu d'information. Autre question vraiment; l'OP a été demandé au sujet d'un service REST, votre préoccupation est de savoir AJAX.
    • Assez juste, mais mon problème n'est pas vraiment avec l'AJAX. C'est que le "${_csrf.token}" qui doit être résolu en un véritable jeton d'ici le Printemps de Sécurité n'est pas converti en un jeton. J'ai fait une autre question ici: stackoverflow.com/questions/23669424/...
    InformationsquelleAutor holmis83
  2. 5

    Vous pouvez également désactiver le CSRF vérifier seulement sur certaines demandes ou des méthodes, en utilisant la configuration suivante pour la http objet:

    http
  .csrf().requireCsrfProtectionMatcher(new RequestMatcher() {

    private Pattern allowedMethods = 
      Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$");

    private RegexRequestMatcher apiMatcher = 
      new RegexRequestMatcher("/v[0-9]*/.*", null);

    @Override
    public boolean matches(HttpServletRequest request) {
        //CSRF disabled on allowedMethod
        if(allowedMethods.matcher(request.getMethod()).matches())
            return false;

        //CSRF disabled on api calls
        if(apiMatcher.matches(request))
            return false;

        //CSRF enables for other requests
        return true;
    }
});

    Vous pouvez en voir plus ici:

    http://blog.netgloo.com/2014/09/28/spring-boot-enable-the-csrf-check-selectively-only-for-some-requests/

    InformationsquelleAutor Andrea